>> 译者注:这也是没有办法的办法,换了我,我就会怀疑.;)
很多unix系统的login命令有一个bug.当你登录以后再执行一遍login
命令时,它将
用你当前的终端重写UTMP中的login from段(它显示你是从哪里来的!)
那么这些log文件缺省在什么地方呢?
这依赖于不同的Unix版本.
UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log
WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log
LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log
在一些旧unix版本中lastlog数据被写到$HOME/.lastlog
* 5. 不要留下痕迹 *
我曾经碰到很多hacker,他们把自己从log里删除了.但他们忘记删掉他们
在机器中留下
的其他一些东西:在/tmp和$HOME中的文件
Shell 记录
一些shell会保留一个history文件(依赖于环境设置)记录你执行的命令.
这对hacker来
说确实是件很糟糕的事.
最好的选择就是当你登录以后先启动一个新shell,然后在你的$HOME中
查找历史纪录.
历史记录文件:
sh : .sh_history
csh : .history
ksh : .sh_history
bash: .bash_history
zsh : .history
>> 译者注:.*history是我最喜欢看的文件之一,通过它你可以了解root或用
户常干
些什么,
>> 从而得知他们的水平如何,如果他们只会执行"ls","pwd","cp"...那说明水
平不
过尔尔,无须
>> 太担心.不过如果你发现root喜欢"find / -type f -perm -04000 -exec ls -a
l {} \;","
>> "vim /var/adm/messages","ps -aux( -elf) ","netstat -an"....那你就要小
心一点了
备份文件 :
dead.letter, *.bak, *
在你离开前执行一下"ls -altr"看看你有没有留下什么不该留下的东西.
你可以敲4个csh命令,它能让你离开时删掉这些历史文件,不留下任何
痕迹.
mv .logout save.1
echo rm .history>.logout
echo rm .logout>>.logout
echo mv save.1 .logout>>.logout
>> 译者注:对于bash,有一个简单的办法就是执行一下"HISTFILE=",就是不
设置bas
h的历史文件,
>> 这样就不会有讨厌的.bash_history了.(准确地说,是不会往
$HOME/.bash_histo
ry里写了)
>> 或者退出的时候简单的敲kill -9 0 ,它会杀掉这次登录后产生的所有进
程,bas
h也不会往.bash
>> _history里写
* 6. 你应当避免的事 *
不要在不属于你的机器上crack口令.如果你在别人(比如说一所大学)的
机器上破解口令
,
一旦root发现了你的进程,并且检查它.那么不仅你hacking的帐号保不住
了,可能连你得
到的那passwd文件也没了.那学校将会密切注视你的一举一动...
所以得到口令文件后应该在自己的机器上破解.你并不需要破解太多的帐
号,能破出几个
就
够了.
如果你运行攻击/检测程序象ypx,iss,satan或其他的exploiting程序,应当
先改名再执
行它们.
或者你可以修改源码改变它们在进程列表中显示的名字...
>> 译者注:这并不难,你只要在main()中将argv[]用你喜欢显示的名字替代就
可以了
比如argv[0]
>> ="in.telnetd",argv[1]=""...(当然必须在程序已经从argv中读取了所需的参
数
之后).
如果某个细心的用户/root发现5个ypx程序在后台运行,他马上就会明
白发生了什么.
当然如果可能的话不要在命令行中输入参数.如果程序支持交互方式,象
telnet.
应当先敲"telnet",然后"o target.host.com"...这就不会在进程表中显示目标
主机
名.
>> 译者注:如果你用ftp,最好这样做:
>> $Content$nbsp;ftp -n
>> $Content$nbsp;ftp>o target.host
>> blahblah...(一些连接信息)
>> blahblah...(ftp server版本)
>> ftp>user xxx
>> ....
如果你hack了一个系统---不要在任何地方放suid shell!
最好装一些后门象(ping,quota或者login),用fix来更正文件的atime和
mtime.
>> 译者注: 放suid shell是很蠢的,非常容易被root发现.
IV. 高级技巧
----------------------------------------------------------------------
内容 : 1. 前言
2. 阻止任何跟踪
3. 找到并处理所有的log文件
4. 检查syslog设置和log文件
5. 检查安装的安全程序
6. 检查系统管理员
7. 怎样修正checksum检查软件
8. 注意某些用户的安全陷阱(诡计?)
9. 其他
* 1. 前言 *
一旦你装了第一个sniffer开始你的hack生涯,你就应该知道并使用这些
技巧!
请运用这些技巧---否则你的hack之旅就行将结束.
* 2. 阻止任何跟踪 *
有时候你的hacking活动会被人发现.那并不是什么大问题 - 你hacked
一些站点
可能会被关掉,但谁管它呢,赶紧离开就是了.但如果他们试图跟踪你的来
路(通常
是为了抓住你)的话那就很危险了!
这一节将告诉你他们跟踪你的各种可能的方法以及你该如何应对.
* 通常对系统管理员来说发现一个hacker是从哪里来的并不是什么问题:
检查log记
录(如果那个hacker真的那么蠢的话);看看hacker安装的sniffer的输
出记录(也许
里面也记下了他的连接)或者其他系统记帐软件(象loginlog等等);甚至
可以用netst
at
显示所有已经建立的网络连接--如果那个hacker正在线的话,那他就被
发现了.
这就是为什么你需要一个gateway server(网关).
* 什么是gateway server?
它是你所"拥有"的很多服务器中的一个,你已经得到了它的root权限.
你
需要root权限去清除wtmp/lastlog/utmp等系统记录或者其他一些记帐
软
件的log文件.除此之外你不在这台机器上做任何其他的事(它只是个
中转
站).你应当定期更换gateway server,可以每隔1,2个星期更换一次,然后
至少一个月内不再使用原来的gateway server.这样他们就很难跟踪到
你
的hacking server.
* hackin server - 所有活动的出发点
你从这些机器开始hacking.Telnet(或者更好的:remsh/rsh)到一个
gateway server,
然后再到一个目标机器.你需要有root权限以修改log.你必须每隔2-4
个星期就更换
hacking server..
* 你的堡垒/拨号主机.
这是个临界点.一但他们能跟踪回你拨号进入的机器,你就有麻烦了.只
要打
个电话给警察,再进行一次通信线路跟踪,你的hack活动就会成为历史
了,也
许是你的未来.
在堡垒主机上你不需要得到root权限.既然你只是通过modem拨入,那
里没有
什么必须修改的记录.你应该每天用一个不同的帐号拨号进入,尽量用
那些
很少使用的.你应该找到至少2个你能拨号进去堡垒主机,每隔1-2个
月更换一
次.
>> 译者注:我对phreak不熟.我猜大部分的国内hacker还没什么本事能躲
过电信局
>> 的跟踪.所以最好不要用别人的帐号上网,特别是那些很少上网的帐号,
一旦他
>> 发现上网费用剧增,肯定会让电信局追查的,到时候你就大难临头了.如
果
>> 你用那些上网频繁的人的帐号,他反倒不会注意,只会以为这个月上的
太厉
>> 害了.:-)(这绝对没有鼓励你盗用别人帐号的意思,这等于盗窃,凭什么你
上网
>> 要别人交钱?就凭你会用john破几个口令吗?hacker的名声就是让这些
打着hac
ker
>> 旗号的无耻之徒败坏的.对这种人就得抓!所以我对这样的phreaker没
有什么好
感,
>> 你要真有本事,就别嫁祸别人,而且还要让电信局查不出来.) 说多了,咱
们言归
正传.
注意: 如果你能每天拨入不同的系统(比如通过"蓝盒子"),那你就不需
要那些
hacking server了.
* 使用蓝盒子,这样即使他们跟踪到你的堡垒主机,也不能(至少是不能很
容易地)
追踪到你的电话...
使用蓝盒子必须小心,德国和美国的电话公司有专门的监视系统来追踪
使用蓝盒
子的人...
使用一个中间系统来传送你的电话将会使跟踪更加困难, 但是同样由
于你使用
一个pbx或其他的什么东西, 仍使你处于被抓的危险中. 这取决于你.
注意在丹麦所有的电话数据均被记录!即使在你打完电话10年后,他们
仍然能证明? 上一页 1 2 3 |
安全中国首页 > 文章中心 > 入侵技术